特點 定價 API 參考 關於
登入 註冊

資料處理協定 (DPA)

v1.0——2026 年 3 月生效

Morlivo 為 Stelica Ventures LLC(德州有限責任公司)之品牌(以下稱「Morlivo」、「Processor」),承諾依歐盟一般資料保護規則(EU)2016/679("GDPR")、英國 GDPR 及其他適用之資料保護法規處理個人資料。本資料處理協議("DPA")規範 Morlivo 代表我們之客戶("Controller")所進行之個人資料處理。對「Morlivo」或「Morlivo.ai」之提及,係指以 Morlivo.ai 名義營運之 Stelica Ventures LLC。

1. 定義

就本資料處理協定而言:

  • <strong>"Personal Data"</strong> 指與已識別或可識別之自然人有關的任何資訊,依 GDPR 第4(1)條之定義。
  • <strong>"Processing"</strong> 指對個人資料所為之任何處理行為,包括蒐集、儲存、使用、揭露或刪除等,依 GDPR 第4(2)條之定義。
  • <strong>"Controller"</strong> 指決定處理個人資料目的與方式的客戶。
  • <strong>"Processor"</strong> 指 Morlivo,代表 Controller 處理個人資料。
  • <strong>"Sub-processor"</strong> 指由 Processor 聘用以代表 Controller 處理個人資料之任何第三方。
  • <strong>"Data Subject"</strong> 指其個人資料被處理之已識別或可識別的自然人。

2. 處理細節

處理者應僅依控制者之書面指示處理個人資料,包括涉及將個人資料移轉至第三國的情形,除非處理者所適用之聯盟或會員國法律要求其為之。

處理細節如下:

  • <strong>標的:</strong>提供翻譯、轉錄及語言處理服務。
  • <strong>期間:</strong>在基礎服務協議期間內。
  • <strong>性質與目的:</strong>處理客戶內容以提供翻譯、轉錄與相關語言服務。
  • <strong>資料當事人類別:</strong>最終用戶以及資料包含於客戶內容中的個人。
  • <strong>個人資料類型:</strong>姓名、聯絡資訊,以及提交處理之材料中包含的其他任何個人資料。

3. 安全措施

處理者應依 GDPR 第32條實施適當的技術與組織措施,以確保與風險相稱的安全水準。這些措施包括:

  • 靜態 (AES-256) 和傳輸中 (TLS 1.2+) 個人資料的加密。
  • 能夠確保處理系統和服務的持續機密性、完整性、可用性和彈性。
  • 在發生實體或技術事件時能夠及時恢復個人資料的可用性和存取權限。
  • 定期測試、評估和評估技術和組織措施的有效性。
  • 在技術上可行且適當的情況下對個人資料進行假名化。
  • 基於最小權限原則的嚴格存取控制。
  • 全面的稽核日誌記錄和資料存取監控。

處理者應確保獲授權處理個人資料之人已承諾保密或受適當之法定保密義務約束。

4. 分處理者

控制者就處理者聘用次處理者提供一般授權。處理者應維護最新的次處理者名單,並於控制者要求時提供。現行的次處理者名單已公布於我們的隱私權政策頁面。

處理者應就新增或更換次處理者之任何擬議變更通知控制者,並給予控制者合理的異議機會。在處理者委託次處理者時,處理者應透過合約對該次處理者施加與本 DPA 規定相同的資料保護義務。

處理者對於任何次處理者依本 DPA 所負之義務之履行,仍應對控制者負完全責任。

5. 資料主體權利

處理者應協助控制者履行其回應資料主體依 GDPR 第三章行使權利之請求的義務,包括:

  • 訪問權(第 15 條)。
  • 糾正權(第 16 條)。
  • 刪除權(第 17 條)。
  • 限制處理的權利(第 18 條)。
  • 資料可攜權(第 20 條)。
  • 反對權(第 21 條)。

若資料處理者直接收到資料當事人的請求,資料處理者應立即將該請求轉交給資料控制者,且除非資料控制者授權,否則不得直接回應資料當事人。

6. 國際轉帳

處理者不得將個人資料移轉至第三國或國際組織,除非依 GDPR 第五章之規定已建立適當之保障措施。經核准之移轉機制包括:

  • 歐盟委員會採用的標準合約條款 (SCC)(委員會實施決定 (EU) 2021/914)。
  • 根據 GDPR 第 45 條做出充分性決定。
  • 經主管監管機構批准的具有約束力的公司規則。

企業客戶可設定資料駐留(data residency)以限制個人資料的處理與儲存於特定地理區域(EU、US 或 APAC),減少跨境傳輸的必要性。

7. 違規通知

處理者在發現個人資料違安事件(依 GDPR 第4條第(12)項定義)後,應不當延遲地通知控制者,且在任何情況下不得晚於知悉後四十八(48)小時。

通知應包括:

  • 個人資料外洩性質的描述,包括相關資料主體和記錄的類別和大致數量。
  • 處理者資料保護聯絡人的姓名和聯絡資訊。
  • 違規行為可能造成的後果的描述。
  • 描述為解決違規行為而採取或提議的措施,包括減輕其不利影響的措施。

8. 審核和檢查

處理者應向控制者提供為證明符合 GDPR 第28條所列義務之所有必要資訊。處理者應允許並配合控制者或控制者指定之稽核人所進行之稽核(包括檢查),惟須有合理之事前通知及保密義務。

9. 術語和資料刪除

本 DPA 自基礎服務協議生效期間持續有效。於服務協議終止時,Processor 應依 Controller 之選擇,刪除或返還所有個人資料並刪除現有副本,除非歐盟或成員國法律要求儲存該等個人資料。Processor 應於 Controller 提出要求時以書面證明其已遵守此項義務.

請求 DPA

如需要求 Data Processing Agreement,請聯絡我們的合規團隊。我們會與您協作,簽署一份符合貴組織資料保護需求的 DPA.

聯繫合規團隊 請求 DPA 模板